SIS Certifications

El debate sobre la privacidad y la seguridad de los datos no es nuevo. Desde que comenzó el modo digital de almacenamiento de datos, las preocupaciones sobre su violación o pérdida también ocuparon un lugar central. Muchos países desarrollaron varias legislaciones para asegurarse de que los datos estén bien protegidos. México, en particular, se toma muy en serio la seguridad de los datos. Varias legislaciones requieren que las entidades y personas incorporen ciertos controles para mantener la confidencialidad, integridad y accesibilidad de los datos. En este sentido, la Certificación ISO 27001 en México ayuda a las organizaciones a implementar un Sistema de Gestión de Seguridad de la Información robusto que protege los datos de amenazas de pérdida o alteración.

ISO 27001, más precisamente, “ISO/IEC 27001 – Tecnología de la información – Técnicas de seguridad – Sistemas de gestión de seguridad de la información – Requisitos” es un conjunto de normas publicadas por la Organización Internacional de Normalización en asociación con la Comisión Electrotécnica Internacional (IEC). ISO 27001 es parte de la serie ISO/IEC 27000 para el manejo de la seguridad de la información.

El marco de la Certificación ISO 27001 en México contiene ciertas políticas y procesos que una organización utiliza para establecer un Sistema de Gestión de Seguridad de la Información (SGSI) robusto en una organización de cualquier tamaño o sector de operación.

La información almacenada dentro de una organización es básicamente de tres tipos: personal, financiera e información relacionada con la propiedad intelectual. Cualquier violación o pérdida de la información o uso indebido por parte de cualquier elemento no autorizado puede causar una gran pérdida a la organización en términos financieros y de reputación. Con la Certificación ISO 27001 en México, las organizaciones pueden asegurar a sus clientes o clientes sobre la seguridad de la información. Dado que esta norma es reconocida por todas las naciones miembros de ISO, es aceptable a nivel mundial.

ISMS se enfoca en proteger los tres aspectos principales de la información:

1. Confidencialidad – garantiza que solo la persona autorizada acceda a la información.
2. Integridad – asegura que la información sea alterada solo por la persona autorizada.
3. Disponibilidad – Asegura la disponibilidad de la información a disposición de la persona autorizada.

Un Sistema de gestión de la seguridad de la información (SGSI) es un conjunto de reglas diseñadas para proteger la información almacenada en forma digital al identificar los riesgos para su infraestructura de información. También tiene como objetivo cumplir con las expectativas de sus partes interesadas mediante la implementación de controles y la mejora continua del SGSI de acuerdo con los estándares cambiantes del mercado. Estas reglas pueden documentarse en forma de registros de políticas y procesos o pueden establecerse con tecnologías no documentadas.

La implantación del SGSI bajo la Norma ISO 27001 conlleva los siguientes beneficios para la organización:

Cumplimiento legal – certificación ISO 27001 es una prueba del cumplimiento de toda la legislación que tiene como objetivo proteger los datos.

Le brinda una ventaja competitiva – una certificación ISO 27001 mejora su imagen en el mercado por tener un SGSI sólido, lo que lo ubica entre las opciones preferibles para hacer negocios.
Costos reducidos – dado que la certificación ISO 27001 es una prueba de que su información está protegida contra violaciones o pérdidas, existe una menor posibilidad de tales emergencias y esto lo ayuda a adquirir seguros con primas más bajas. También ayuda a ahorrar costos de responsabilidad que de otro modo podrían haberse incurrido por emergencias.

Mejor gestión – ISO 27001 permite la racionalización de proyectos y procesos y elimina la confusión con respecto a las funciones del personal y la priorización de actividades.

La estructura de ISO 27001 consta de dos partes: la primera parte contiene 11 cláusulas, mientras que la segunda parte tiene el Anexo A que proporciona pautas para 114 objetivos de control. Las primeras cuatro cláusulas (cláusula 0 a 3) de la primera parte son de carácter introductorio, a saber- Introducción, alcance, referencias normativas y términos y definiciones) el resto de las cláusulas (cláusula 4 a 11) contiene los requisitos obligatorios para la SGSI. El Anexo A contiene requisitos no obligatorios que funcionan para respaldar las cláusulas y sus requisitos.

Cláusula 4: Contexto de la organización – cada organización es única en términos de funcionamiento. Esta cláusula permite la adaptación del SGSI según el contexto de su organización que considera los problemas internos y externos, así como el interés de las partes involucradas.

Cláusula 5: Liderazgo – esta cláusula enfatiza la importancia de la alta dirección en el establecimiento y la implementación del SGSI mediante la asignación de funciones y responsabilidades a la persona pertinente y el desarrollo de políticas de seguridad de la información.

Cláusula 6: Planificación – es importante evaluar los riesgos y las oportunidades para planificar los procesos y procedimientos del SGSI. Esta planificación debe estar en sinfonía con los objetivos de seguridad de la información de la organización.

Cláusula 7: Soporte – esta sección trata sobre los recursos, la competencia de los empleados, la conciencia y la comunicación que son sistemas de soporte clave para cualquier sistema de gestión. También asegura el mantenimiento de la documentación para el éxito del SGSI.

Cláusula 8: Operación – se ocupa de la planificación, implementación y controles para el funcionamiento del SGSI. Aquí es donde se planifican las acciones de acuerdo con los riesgos evaluados.

Cláusula 9: Evaluación del rendimiento – con la ayuda de herramientas de seguimiento y medición, el rendimiento de su SGSI se evalúa periódicamente para determinar su eficiencia y eficacia.

Cláusula 10: Mejora continua – es importante mantener su SGSI actualizado y eficiente frente a la naturaleza cambiante de las amenazas a la seguridad cibernética y de la información. La estrategia de gestión de Plan-Do-Check-Act (PDCA) se implementa para garantizar la mejora continua de su SGSI.

Anexo A (normativo) Controles y objetivos de control de referencia

Contiene una lista de controles y objetivos de control de referencia. Desde las políticas de seguridad de la información (A.5) hasta el cumplimiento (A.18), el Anexo A tiene todos los controles que se requieren para cumplir con las especificaciones de la norma ISO 27001.

Para reducir el riesgo a la seguridad de la información, ISO 27001 contiene ciertos controles que pueden ser técnicos, legales, físicos, humanos, organizacionales, etc. El Anexo A enlista 114 controles para este propósito. Veamos cómo se pueden implementar:

Controles técnicos Mediante el uso de cierto software, firmware o hardware, como software antivirus, respaldo, etc., estos controles se implementan en los sistemas de información.

Controles organizativos Se trata de las reglas que debe seguir el personal de la organización para mejorar la seguridad. P.ej. Política BYOD, política de control de acceso, etc.

Controles legales esto es para asegurarse de que las actividades cumplan con los requisitos legales de las regulaciones, contratos, etc. NDA (acuerdo de confidencialidad), SLA (acuerdo de nivel de servicio), etc.

Los controles físicos hacen uso de los dispositivos físicos para mantener la seguridad. P.ej. sistemas de alarma, cámaras de circuito cerrado de televisión, etc.

Controles de recursos humanos Esto se hace capacitando al personal en sus roles con respecto al mantenimiento de la seguridad. P.ej. capacitación en concientización sobre seguridad, capacitación de auditor interno ISO 27001, etc.

Con el mundo cada vez más digitalizado, dependemos de los medios digitales para almacenar información. Cualquier violación o pérdida de información tiene enormes implicaciones para la privacidad de un individuo, así como para la economía de la nación. Por lo tanto, países y organizaciones de todo el mundo están desarrollando regulaciones cada vez más estrictas para controlar cualquier amenaza de este tipo. Por lo tanto, es muy beneficioso para una organización adoptar un sistema de gestión que reduzca o prevenga tales riesgos y proceda a aplicar la certificación ISO 27001 en México para ganar credibilidad.

Aquí hay un breve video sobre lo que somos y de qué se tratan nuestros servicios: CERTIFICACIONES SIS